_Derfor skal I vælge en Hosting- og Cloud-leverandør med en ISAE3402 revisorerklæring
EU’s persondataforordning anbefaler, at man benytter certificerede databehandlere, når man får behandlet persondata ‘ude af huset’. Det kan f.eks. være hos en Hosting- og Cloud-leverandør.
Databehandler og dataansvarlig - hvem er hvad?
Databehandlere er virksomheder, der behandler persondata på vegne af andre. Det kan være hostingudbydere, online løn-, og økonomisystemer, netbank osv. Hvis jeres IT-systemer og -drift er lagt ud til en Hosting- og Cloud-leverandør, behandler de jeres persondata. De er derfor databehandlere. I har som virksomhed stadig ansvaret for jeres data og er derfor dataansvarlig.
Databehandleraftalen er afgørende
Når I indgår en aftale med en databehandler, skal I lave en databehandleraftale. Det er et juridisk dokument, der beskriver de krav, som I stiller til databehandleren når de behandler jeres persondata.
Med aftalen overdrager I ikke ansvaret for jeres persondata, men opstiller blot krav til hvordan det skal behandles.
Databehandleren skal stå for sikkerheden
Selvom I har indgået en databehandleraftale, er det ingen garanti for at databehandleren passer på jeres persondata. Det betyder f.eks., at I ved et hackerangreb, hvor databehandleren har sløset med IT-sikkerheden, bærer en del af ansvaret og derfor risikerer en bøde. En sådan bøde kan nå helt op til 20 mio. Euro eller 4% af koncernomsætningen. Derfor er det vigtigt, at man kan stole på sin databehandler. Og derfor anbefaler persondataforordningen at man benytter certificerede databehandlere. En certificering kan være en ISAE3402 revisorerklæring, og det er den, der er mest udbredt i Danmark.
Ærlig IT-revision er jeres garanti
En ISAE3402 revisorerklæring omhandler databehandlerens IT-sikkerhed, og den kræver en årlig IT-revision. Under revisionen gennemgås politikker, procedurer og kontroller minutiøst for at se om de bliver overholdt. Det er et stort arbejde at få en ISAE3402 revisorerklæring, men det betyder også, at I som kunde har en sikkerhed for at ”det de siger, også er det de gør”. Med en revisorerklæring kan I trygt stole på jeres databehandler når de siger, at de passer på jeres persondata.
Hos it's IT har vi en ISAE3402 revisorerklæring, som er udstedt af revisionsfirmaet BDO.